I en ny rapport av Trend Micro framkommer att nära en fjärdedel, 22 procent, av de sårbarheter som finns till salu på den cyberkriminella marknaden är mer än tre år gamla. Samtidigt är företag långsamma och bristande i sina rutiner för patchning, vilket gör att cyberkriminella kan fortsätta utnyttja dessa gamla sårbarheter som därmed utgör stora risker för verksamheter, år efter år.

I rapporten framkommer bland annat att den äldsta sårbarheten som säljs på den cyberkriminella marknaden är CVE-2012-0158, en körning av fjärrkod (Remote Code Execution) i Microsoft och att CVE-2016-5195, en sårbarhet känd under namnet Dirty Cow, pågår fortfarande efter fem år.

Rapporten visar också att under 2020 var Wannacry fortfarande det mest upptäcka utpressningsprogrammet och Microsoftprodukter är mest attraktiva för cyberkriminella, då 47 procent av cyberkriminella velat komma över sårbarheter mot dessa de senaste två åren.

Attackmetoden "åtkomst som tjänst", även kallat "Access-as-a-Service", kan köpas färdig att använda för en cyberattack och finns på den cyberkriminella marknaden från cirka 8600 kronor (1000 USD). Med nästan 50 nya sårbarheter per dag under 2020 har trycket på säkerhetsteamen att prioritera och distribuera snabb patchning aldrig varit större. Idag är den genomsnittliga tiden det tar för företag att patcha en ny sårbarhet 51 dagar.

– Kriminella vet att företag kämpar med att patcha snabbt och ordentligt och vår undersökning bekräftar att detta utnyttjas frekvent. En sårbarhets livslängd är inte avhängig när en patch att stoppa den blir tillgänglig, utan äldre sårbarheter är ofta billigare och därmed mer populära på den cyberkriminella marknaden. Därför är virtuell patchning fortsatt det tveklöst bästa sättet att mildra riskerna för attacker mot din verksamhet, säger Jean Diarbakerli, säkerhetsrådgivare på Trend Micro.